國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國(guó):010-56542716
天津:022-27810977
國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國(guó):010-56542716
天津:022-27810977
常見問題&知識(shí)園地
(1)ISO27001 信息安全風(fēng)險(xiǎn)的含義
風(fēng)險(xiǎn)是指一定條件下和一定時(shí)期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性,,即強(qiáng)調(diào)風(fēng)險(xiǎn)發(fā)生的不確定性,又強(qiáng)調(diào) 風(fēng)險(xiǎn)損失的不確定性,。
澳大利亞/新西蘭國(guó)家標(biāo)準(zhǔn) AS/NZS 4360 把信息安全風(fēng)險(xiǎn)定義為“對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機(jī)會(huì),,可以用后果和可能性來衡量(Risk: thechance of something happening that will have on impact upon objectives. It ismeasured in terms of consequences and likelihood.)”,。
在ISO13335-1 中,,定義信息安全風(fēng)險(xiǎn)為“一定威脅利用單個(gè)或一組資產(chǎn)的脆弱性并造成資產(chǎn)丟失或損毀的 可能性(Risk: the potential that a giventhreat will exploit vulnerabilities of an asset or group of assets to cause loss ordamage to the assets)”,。
(2)ISO27001信息安全風(fēng)險(xiǎn)特征
信息安全本身已發(fā)展成為涉及數(shù)學(xué)、通訊,、計(jì)算機(jī),、管理及工程等多學(xué)科的復(fù)雜系統(tǒng),面臨的安全風(fēng)險(xiǎn)種類 繁多,,各種風(fēng)險(xiǎn)之間的相互關(guān)系錯(cuò)綜復(fù)雜,,具有以下特征:
① 客觀性和不確定性。信息安全風(fēng)險(xiǎn)客觀存在于信息系統(tǒng)的各個(gè)層次和生命周期的各個(gè)階段,,并隨著各種不確定因素的不斷變化而呈現(xiàn)不確定性,。
② 多層次性和多樣性。信息安全風(fēng)險(xiǎn)作用層面包括物理層,、鏈路層,、網(wǎng)絡(luò)層、傳輸層,、系統(tǒng)層和應(yīng)用層,,具有多層次性;風(fēng)險(xiǎn)包括技術(shù)風(fēng)險(xiǎn),、管理風(fēng)險(xiǎn)和環(huán)境風(fēng)險(xiǎn)等,,又具有多樣性。
③ 可變性和動(dòng)態(tài)性,。信息安全風(fēng)險(xiǎn)在其生命期內(nèi)動(dòng)態(tài)變化,,具有可變性;同時(shí)在信息系統(tǒng)生命周期的不同階段呈現(xiàn)出不同的風(fēng)險(xiǎn),,具有多樣性,。
④ 可測(cè)性。風(fēng)險(xiǎn)雖然呈現(xiàn)出不確定性,,但可用各種定性和定量的風(fēng)險(xiǎn)方法對(duì)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和衡量,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信